it-swarm-es.com

¿Cuáles son los mayores problemas no resueltos en seguridad de TI?

Recientemente pensé en todos los problemas resueltos en seguridad de TI, como XSS (que se puede mitigar con la validación de entrada), inyección de SQL (mitigada con declaraciones preparadas), etc.

Ahora me pregunto, ¿cuáles son los mayores problemas de seguridad sin resolver del año 2010? Me pregunto aquí si hay vulnerabilidades por las cuales aún no conocemos una buena manera de mitigarlas. Excepto cómo podemos hacer que todos usen las soluciones a los problemas resueltos.

28
Andreas Arnold

Realmente no puede resolver el problema del usuario final. Bueno, legal o éticamente de todos modos. Mi voto se dirige al problema de Home Realm Discovery.

EDITAR: El problema del usuario final fue en referencia a las respuestas publicadas anteriormente. El descubrimiento de Home Realm es parte de un modelo de autenticación basado en notificaciones, donde puede seleccionar entre múltiples servicios/organizaciones para proporcionar una identidad a un usuario, al igual que OpenID/OpenAuth. El problema surge cuando necesita averiguar de qué proveedor obtener información, ya que aún no sabe nada sobre el usuario. Es una cuestión de huevo/gallina: ¿cómo saber quién debe autenticar al usuario cuando no sabe a quién utiliza para proporcionar su identidad?.

La primera respuesta obvia es usar solo un proveedor, pero eso niega el beneficio del modelo.

La segunda respuesta obvia es preguntarle al usuario. Sin embargo, esta es la caída de openID. La mayoría de las personas no tienen idea de quién es su proveedor. ¿Y qué sucede cuando puede autenticarse contra Google y Facebook, pero no sabe cuál está vinculado al perfil de la aplicación de llamada?

Esto se conoce cariñosamente como el problema de NASCAR con OpenID: la página de inicio de OpenID generalmente tiene una gran cantidad de logotipos para proveedores, por lo que debe seleccionar qué proveedor usar. Que se rompe cuando tienes un proveedor personalizado.

¿Recuerda CardSpace/InfoCard/Information Cards? Eso intenta resolver el problema. En realidad, hace un trabajo bastante bueno en teoría. Prácticamente no mucho.

13
Steve

Ingeniería social con diferencia.

Los humanos seguirán siendo vulnerables a la ingeniería social durante mucho tiempo y, como dice el refrán, "la seguridad es tan buena como el eslabón más débil".

21
Olivier Lalonde

Muchas de las respuestas aquí dicen que el problema no resuelto es "el usuario" o alguna variante, por lo que me veo obligado a concluir que el mayor problema no resuelto es los profesionales de seguridad que creen que el usuario es el enemigo.

La causa subyacente es una política o procedimiento de seguridad que no tiene ningún beneficio visible, es decir, toma tiempo y esfuerzo del usuario sin que los usuarios puedan ver lo que está haciendo por ellos . Resolver este problema requerirá combinar la experiencia de infosec con la ingeniería de usabilidad y las ciencias sociales para inventar nuevas experiencias de seguridad que sean habilitadoras , y que permitan a los usuarios percibir su beneficio.

17
user185

La votación por Internet desde computadoras de la casa o la oficina para elecciones de alto riesgo está muy lejos de la escala de "problemas no resueltos". Es particularmente importante para los votantes que están en el extranjero y/o en las fuerzas armadas y no tienen una forma rápida y confiable de devolver una boleta de papel verificada por los votantes (piense en los submarinos :). Fue nominado como digno de un X-PRIZE en DESSEC: DEsigning a Secure Systems Engineering Competition

Ron Rivest, la "R" en "RSA", dio una de varias charlas convincentes sobre eso en 2010 en el Taller de Sistemas de Votación Remota de UOCAVA. Puede ver las presentaciones en la página "Agenda y presentaciones" aquí http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm

El problema es mucho más difícil que el problema del comercio electrónico seguro ya que los votos deben ser anónimos, la venta de votos está prohibida y el sistema debe ser altamente transparente. También implica:

  1. la intratabilidad de proteger servidores en un mundo con ataques como stuxnet de atacantes bien financiados
  2. la intratabilidad de proteger a los clientes en un mundo de virus y usuarios sin experiencia.
  3. la facilidad de ataques DDoS en servidores que tienen que estar activos durante un día y una hora particularmente cruciales.

Al revisar el reciente choque y quema de una prueba pública de votación por Internet realizada por el Distrito de Columbia, el Washington Post acertó .

Ver más en

12
nealmcb

Seguridad de teléfonos inteligentes

Hay una gran cantidad de teléfonos inteligentes que son blanco de virus y filtraciones de información corporativa. Es difícil encontrar una manera uniforme de abordar estas vulnerabilidades de seguridad, y aún así proporcionar un entorno de usuario flexible.

Actualmente estoy mirando Goodlink para proporcionar seguridad de correo electrónico en múltiples dispositivos. Por favor comente si sabe algo más

7
goodguys_activate

Personas que no piensan con la seguridad en mente.

5
gbr

Implementar HTTPS correctamente

Siempre tenga una sesión SSL/TLS después de la autenticación ... para el resto de la sesión web.

https://www.eff.org/pages/how-deploy-https-correctly

En una nota similar, ¿alguien puede decirle a Google AdSense/AdWords que admita HTTPS?!?! Todos los sitios que requieren que inicies sesión generalmente vuelven a HTTP porque no quieren que los usuarios reciban la advertencia de "Contenido mixto".

5
goodguys_activate

Ligeramente fuera de tema, pero nadie ha resuelto la última línea de la escultura Kryptos frente a la CIA.

http://en.wikipedia.org/wiki/Kryptos

4
goodguys_activate

Verificación del remitente del correo electrónico

Muchas soluciones y terceros intentan abordar el problema de "¿el usuario x realmente envió un mensaje de correo electrónico?" o fue falsificado?

DMARC , DomainKeys, SenderID y SPF son ejemplos de tecnologías que abordan el problema de una forma u otra, pero la tasa de adopción no está cerca de donde Necesita ser. Además, tampoco creo que haya una solución completa cuando se trata de ListSrv en esta área.

4
goodguys_activate

Creo que un gran problema actualmente es la reutilización de contraseñas.

XKCD # 792 ilustra el problema con un "poco" de humor.

Password reuse

4
bjarkef

Enorme problema no resuelto: conseguir la aceptación de los altos ejecutivos (CEO, FD, etc.) y comprender la seguridad de la información La administración de TI tiende a comprender la seguridad de TI (más o menos), pero la administración superior no. Se centran en el riesgo comercial, operativo y financiero, por lo que traducir los riesgos IS a un equivalente, junto con el impacto relativo para que puedan discutirse en igualdad de condiciones es la única forma coherente de presupuestar el cambio para, patrocinado e implementado ... a diferencia de los impulsores actuales para un cambio revolucionario en la seguridad de la información, generalmente una respuesta a un incidente importante, un alto presupuesto y urgencia por un corto tiempo hasta que los tabloides lleguen al siguiente objetivo.

3
Rory Alsop

Contraseñas y cómo las personas piensan sobre ellas. Las contraseñas deben ser renombradas para pasar frases en mi opinión. Demasiadas cuentas son pirateadas hoy debido a que los usuarios tienen una política de contraseña incorrecta.

Por ejemplo: el usuario elige una contraseña de menos de 10 caracteres. Una vez que un sitio en el que está registrado es secuestrado y la base de datos se vacía. Desafortunadamente, también usa la misma contraseña para su correo electrónico (por supuesto, ¿quién no? ¡No ... estúpido!). Esto hace que pierda todas sus credenciales y, básicamente, su identidad en línea. Ahora cualquiera puede explotar fácilmente a esta víctima sin que él sepa mucho al respecto.

3
Chris Dale

No se puede resolver XSS con validación de entrada. Eres incorrecto.

La inyección SQL es más que declaraciones preparadas. Incluye temas como sentencias SQL y enlace variable. Hibernate tiene inyección HQL, compensada por parámetros con nombre con enlace variable apropiado.

3
atdre

El mayor problema en seguridad de TI es el usuario final.

2
Woot4Moo

Hasta donde yo sé, no hay una solución real para evitar el clickjacking o el raspado. Para este último, las mejores soluciones son el monitoreo basado en IP o un CAPTCHA en cada carga de página. Ninguno de los cuales es perfecto.

2
Adam Lynch

La seguridad en la nube no está probada

La seguridad de las soluciones SaaS, PaaS e IaaS no ha sido probada ni confiable. Creo que esto es un problema cuando tenemos el negocio y los vendedores que venden soluciones no confiables y no probadas.

Con el tiempo, tal vez esto cambie.

2
goodguys_activate

Adopción generalizada y uso de DNSSec

Aunque existe la controversia con respecto a que expone todas sus zonas, y los problemas legales con respecto a su uso en algunos países; En general, es una tecnología necesaria que necesita superar el síndrome del huevo y la gallina.

1
goodguys_activate

Abordar el aumento de las amenazas con menos personal.

Dado que usted preguntó sobre los problemas aprendidos durante 2010, le diré que los despidos aumentan el riesgo de robo de información y divulgación no autorizada por parte del personal interno.

Si los despidos afectan al departamento de seguridad, muchos de los problemas mencionados anteriormente pueden quedar sin control, dejando a la empresa en riesgo.

1
goodguys_activate

P = NP

El problema P versus NP) es un problema importante no resuelto en informática

0
T. Webster

Los ataques más populares son XSS y clickjacking por lo que yo sé.

0
Paul Podlipensky

¿Conexión segura a internet público?

0
Bradley Kreider